Ciberseguridad y Ransomware
Los titulares sobre ciberataques y, concretamente, ransomware, se acumulan. Charlamos con Miguel Monedero, Director de Seguridad de la Información en Sothis, para conocer de primera mano si nos encontramos ante un auge de la ciberdelincuencia o una cuestión puntual.
¿Por qué trascienden estos incidentes ahora? ¿Se producen más o es una percepción? ¿Se debe al auge del teletrabajo o estamos pasando por alto algo más profundo?
El experto de la firma, con más de 800 empleados y proyectos en 35 países, y experta en ciberseguridad, tecnología de gestión empresarial y consultoría digital industrial, responde a estas y otras cuestiones.
Los casos que conocemos por la prensa son llamativos (y por eso, noticiosos), pero tan solo son la punta del iceberg. Realmente se ha producido un auge extraordinario en la ciberdelincuencia, y, sobre todo, de ataques de ransomware, en el último año, a raíz de las consecuencias TIC originadas por la pandemia. En cualquier caso, ya nos dirigíamos en esa dirección desde hacía tiempo. Cada mes, se catalogan nuevos tipos de ciberamenazas. Es cierto que muchos son variaciones de los más básicos, pero no deja de ser llamativo y un indicador de lo activo que esta el cibercrimen, cada vez mejor organizado y profesionalizado.
Pero soy optimista y creo que podemos hacer mucho, con relativamente poco esfuerzo, para mejorar la situación. Sí, hay una “pandemia” de ransomware, pero no hay truco, la “vacuna” ya está inventada, la preparación: conocer tus riesgos, mejorar tus medidas de protección y respuesta, concienciar y monitorizar. Además de la inversión en ciberseguridad, de cuya necesidad por supuesto las empresas son cada vez más conscientes, pequeñas buenas prácticas digitales pueden producir un impacto realmente diferencial.
Sin duda, podemos ayudar como usuarios a mejorar la detección como primera barrera y la concienciación del entorno. De hecho, la protección del endpoint (el punto final de la comunicación, la interfaz expuesta al usuario) y el correo electrónico, como principal vector de acceso, es una de las áreas en las que más recursos invertimos y que más atención requieren, tanto por el volumen de usuarios, como por su capacidad para comprometer, con tan solo un email, por ejemplo, la integridad de la información de toda la empresa.
La superficie de exposición a ciberataques es más grande y el perímetro, más difuso que nunca, es cierto, pero eso no quiere decir que debamos olvidarnos y no responsabilizarnos de nuestras acciones como empleados. Debemos aprender a hacer un uso responsable de la tecnología y, aunque la formación por parte de la empresa y fomentar esta cultura es una cuestión corporativa, debemos permanecer atentos como individuos para garantizar la integridad de la información corporativa. Y da igual si hablamos de una empresa de servicios o industrial, de una administración pública o de una infraestructura crítica: el resigo es igual para todos.
Es fundamental: cada vez están más concienciadas porque realmente la ciberseguridad se ha convertido en una cuestión con un impacto real en la cuenta de resultados. Las implicaciones para el negocio son más directas, la regulación más sofisticada (y, por tanto, el riesgo normativo de incumplir los requisitos legales) y, los cibercriminales, más experimentados.
Desde el punto de vista de los proveedores de soluciones y servicios de ciberseguridad, como es nuestro caso en Sothis, es importante tener la capacidad para ofrecer soluciones integrales que tengan en cuenta la casuística de cada empresa. Es decir, que aporten estrategia y no solo tecnología. Como dicen anglosajones, no es suficiente con “arrojar dinero al problema”.
Dicho esto, es también muy importante la capacidad para ofrecer un enfoque integral que cubra todo el ciclo de vida de las amenazas: desde la prevención, a la vigilancia, la protección y la capacidad de respuesta. Para ello, es imprescindible contar con recursos como un SOC o “centro de operaciones de seguridad”, un centro de alto rendimiento compuesto por profesionales altamente cualificados cuya misión es monitorizar y mejorar continuamente la ciberseguridad de una organización, 24 horas al día, 7 días a la semana. En Sothis, contamos con un SOC propio mediante el que protegemos a las empresas de manera continua, analizamos más de 5 millones de eventos diariamente y desde el que detectamos más de 50.000 alertas críticas de ciberseguridad al año.
Este tipo de enfoque es especialmente útil en ámbitos como la seguridad industrial para evitar que los procesos y activos de planta sean vulnerables al auge de los ciberataques. Para una empresa centrada en la fabricación, tener que detener una planta productiva puede ser fatal para el negocio.
El mito y la cultura popular lo retrata como un joven genio de la programación movido más por una misión y una visión del mundo que por una motivación económica, imagen que no puede ser más imprecisa. Lo cierto es que el perfil medio de cibercriminal es el de un miembro perteneciente a un grupo especializado y perfectamente organizado, cuya principal motivación es conseguir beneficio económico a cambio de robo o secuestro de datos corporativos.
Dichos grupos cibercriminales cuentan con perfiles técnicos altamente cualificados, pero la principal virtud es que disponen de equipos multidisciplinares con roles y funciones claramente definidas. Además, invierten una gran cantidad de recursos en I+D para desarrollar nuevos tipos de amenazas. Por otra parte, utilizan métodos ya probados, sencillos, simples y que aprovechan las fisuras y descuidos en el eslabón más débil de la cadena: el usuario. Por eso, de nuevo incido en la importancia de la constante alerta y de una correcta cultura de la ciberseguridad a todos los niveles, no solo entre directivos.
Sin duda, los ataques de ransomware, en todas sus variantes, son el claro protagonista hoy. Y lo son por una razón: su impacto y eficacia. Como decía, un solo email puede ser el desencadenante y comprometer a una gran corporación de cientos o miles de usuarios, si los mecanismos de contención, gobernanza y compartimentación no son los adecuados.
Dejando al margen aspectos legales, el impulso a la cultura debe ser transversal a todos los miembros del equipo… De arriba, hacia abajo, sí, pero a todos los niveles. Nuestra recomendación es que el Gobierno de Seguridad de la Información se incluya como parte del gobierno corporativo, y que el CISO tenga como misión definir la estrategia global de seguridad de la información.
Lo importante es que la estrategia de seguridad alineada con los objetivos de negocio. “Más tecnología” y “más potente” no siempre es sinónimo de “mejor”. Si no hay una estrategia clara y con un objetivo y una meta concretas, adaptadas no solo a la envergadura de la compañía, sino a su negocio y sector, de poco vale.
Para que la estrategia sea efectiva, debemos evitar que sea complicada, pero procurar que sea compleja. No es lo mismo: quiero decir que, efectivamente, los retos son hoy muy diversos, grandes y retadores, pero añadir más capas tan solo sirve para ponernos palos en la rueda. La estrategia tiene que ser compleja para contemplar todos los escenarios y necesidades, pero por fuera, no debe parecer ni ser complicada.
Es un reto, pero aconsejaría a las empresas en posición de abordarlo que no actúen cuando sea demasiado tarde y que no lo fíen todo a la tecnología, sino que apuesten por la estrategia. También, que confíen en expertos que conozcan muy bien el contexto normativo y cómo garantizar su cumplimiento. En el caso de las AA.PP., por ejemplo, tenemos un excelente precedente con el Esquema Nacional de Seguridad. Tan solo cumpliendo lo que nos marcamos hoy, ya tenemos una gran parte del camino recorrida.